Använda: när autentiseringskraven har uppfyllts och en begäran har godkänts, läggs ett användarkonto tillfälligt till i en privilegierad grupp i skyddsskogen.Operate: After authentication requirements are met and a request is approved, a user account gets added temporarily to a privileged group in the bastion forest.Under en förinställd tidsperiod har administratören alla privilegier och åtkomstbehörigheter som är tilldelade till gruppen.For a pre-set amount of time, the administrator has all privileges and access permissions that are assigned to that group.Därefter tas kontot bort från gruppen.After that time, the account is removed from the group.

Löpande användarkonton måste inte flyttas till en ny skog.Day-to-day user accounts do not need to move to a new forest.Det gäller också för datorer, program och deras grupper.The same is true with the computers, applications, and their groups.De förblir där de är i en befintlig skog.They stay where they are today in an existing forest.Studera exemplet med en organisation som är bekymrad över dagens cybersäkerhetsproblemen, men inte har några omedelbara planer på att uppgradera serverinfrastrukturen till nästa version av Windows Server.Consider the example of an organization that is concerned with these cybersecurity issues today, but has no immediate plans to upgrade the server infrastructure to the next version of Windows Server.Den organisationen kan fortfarande dra nytta av den här kombinerade lösningen genom att använda MIM och en ny skyddsskog, och får bättre kontroll över åtkomsten till befintliga resurser.That organization can still take advantage of this combined solution by using MIM and a new bastion forest, and can better control access to existing resources.

Om vi till exempel antar att en användare var medlem av en administrativ grupp innan PIM konfigurerades.As an example, let’s say a user was a member of an administrative group before PIM is set up.Som en del av PIM-konfigurationen tas användaren bort från den administrativa gruppen och en princip skapas i MIM.As part of PIM setup, the user is removed from the administrative group, and a policy is created in MIM.Principen anger att om användaren begär administratörsbehörighet och autentiseras av MFA godkänns begäran och ett särskilt konto för användaren läggs till i den privilegierade gruppen i skyddsskogen.The policy specifies that if that user requests administrative privileges and is authenticated by MFA, the request is approved and a separate account for the user will be added to the privileged group in the bastion forest.

Som kontrast utvärderas utgångna länkar i realtid av Security Accounts Manager (SAM).In contrast, an expired link is evaluated in real time by the Security Accounts Manager (SAM).Även om tillägg av medlemmar måste replikeras av domänkontrollanten som tar emot åtkomstbegäran, utvärderas borttagning av medlemmar omedelbart på vilken domänkontrollant som helst.Even though the addition of a group member needs to be replicated by the DC that receives the access request, the removal of a group member is evaluated instantaneously on any DC.